Configurar a direção de transferência da área de transferência e os tipos de dados que podem ser copiados no Azure Virtual Desktop

O redirecionamento da área de transferência no Azure Virtual Desktop permite que os utilizadores copiem e colem conteúdo, como texto, imagens e ficheiros entre o dispositivo do utilizador e a sessão remota em qualquer direção. Poderá querer limitar a direção da área de transferência para os utilizadores, para ajudar a impedir que os dados exfiltrados ou ficheiros maliciosos sejam copiados para um anfitrião de sessões. Pode configurar se os utilizadores podem utilizar a área de transferência do anfitrião da sessão para o cliente ou do cliente para o anfitrião da sessão e os tipos de dados que podem ser copiados, a partir das seguintes opções:

• Desative as transferências da área de transferência do anfitrião da sessão para o cliente, cliente para anfitrião de sessão ou ambos.
• Permitir apenas texto simples.
• Permitir apenas texto simples e imagens.
• Permitir apenas texto simples, imagens e Formato rtf.
• Permitir texto simples, imagens, Formato RTF e APENAS HTML.

Aplica as definições aos anfitriões de sessão. Não depende de um cliente de Ambiente de Trabalho Remoto específico ou da respetiva versão. Este artigo mostra-lhe como configurar a direção da área de transferência e os tipos de dados que podem ser copiados com Microsoft Intune ou Política de Grupo.

Pré-requisitos

Para configurar a direção de transferência da área de transferência, precisa de:

• As propriedades RDP do conjunto de anfitriões têm de permitir o redirecionamento da área de transferência, caso contrário, serão completamente bloqueadas.

• Os anfitriões de sessão têm de estar a executar um dos seguintes sistemas operativos:

  • Windows 11 Enterprise ou enterprise multi-session, versão 22H2 ou 23H2 com a atualização cumulativa 2024-06 (KB5039212) ou posterior instalada.
  • Windows 11 Enterprise ou enterprise multi-session, versão 21H2 com a atualização cumulativa 2024-06 (KB5039213) ou posterior instalada.
  • Windows Server 2022 com a atualização cumulativa 2024-07 (KB5040437) ou posterior instalada.

• Consoante o método utilizado para configurar a direção de transferência da área de transferência:

  • Para Intune, precisa de permissão para configurar e aplicar definições. Para obter mais informações, veja Modelo administrativo do Azure Virtual Desktop.

  • Para configurar o Política de Grupo local ou o registo de anfitriões de sessão, precisa de uma conta que seja membro do grupo de Administradores local.

Configurar a direção de transferência da área de transferência

Eis como configurar a direção de transferência da área de transferência e os tipos de dados que podem ser copiados. Selecione o separador relevante para o seu cenário.

Intune

Para configurar a área de transferência com Intune, siga estes passos. Este processo cria uma política de catálogo de definições de Intune.

1. Entre no Centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores, com o tipo de perfil de catálogo Definições.

3. No seletor de definições, navegue para Modelos administrativos Componentes>do Windows Serviços> de Ambiente deTrabalho Remoto Anfitrião>de Sessões> de Ambiente de Trabalho RemotoDispositivo e Redirecionamento de Recursos.

   

4. Selecione a caixa para as seguintes definições, certificando-se de que seleciona as definições com o âmbito correto para os seus requisitos e, em seguida, feche o seletor de definições. Para determinar qual o âmbito correto para o seu cenário, veja Catálogo de definições – Âmbito do dispositivo vs. definições de âmbito do utilizador:

   • Definições de âmbito do dispositivo:

     • Restringir a transferência da área de transferência do servidor para o cliente
     • Restringir a transferência da área de transferência do cliente para o servidor

   • Definições de âmbito do utilizador:

     • Restringir a transferência da área de transferência do servidor para o cliente (Utilizador)
     • Restringir a transferência da área de transferência do cliente para o servidor (Utilizador)

5. Expanda a categoria Modelos administrativos e, em seguida, alterne o botão para cada definição que adicionou a Ativado.

6. Assim que cada definição estiver ativada, é apresentada uma lista pendente a partir da qual pode selecionar os tipos de dados que podem ser copiados. Escolha dentre as seguintes opções:

   • Desativar transferências da área de transferência do servidor para o cliente ou Desativar transferências da área de transferência do cliente para o servidor
   • Permitir texto simples
   • Permitir texto simples e imagens
   • Permitir texto simples, imagens e Formato RTF
   • Permitir texto simples, imagens, Formato RTF e HTML

7. Selecione Avançar.

8. Opcional: no separador Etiquetas de âmbito , selecione uma etiqueta de âmbito para filtrar o perfil. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

9. No separador Atribuições , selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

10. No separador Rever + criar , reveja as definições e, em seguida, selecione Criar.

11. Assim que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as definições entrem em vigor.

12. Ligue-se a uma sessão remota com um cliente suportado e teste as definições da área de transferência que configurou ao tentar copiar e colar diferentes tipos de conteúdo.

Política de grupo

Para configurar a área de transferência com Política de Grupo num domínio do Active Directory, siga estes passos.

Importante

Estas definições de política são apresentadas na Configuração do Computador e na Configuração do Utilizador. Se ambas as definições de política estiverem configuradas, é utilizada a restrição mais rigorosa.

1. As definições de Política de Grupo só estão disponíveis no Windows 11, versão 23H2 e posterior. Tem de copiar os ficheiros C:\Windows\PolicyDefinitions\terminalserver.admx de modelo administrativo e C:\Windows\PolicyDefinitions\en-US\terminalserver.adml de um anfitrião de sessão para a mesma localização nos controladores de domínio ou no Política de Grupo Loja Central, consoante o seu ambiente. No caminho do ficheiro para terminalserver.adml substituir en-US pelo código de idioma adequado, se estiver a utilizar um idioma diferente.

2. Num dispositivo que utiliza para gerir Política de Grupo, abra a Consola de Gestão de Política de Grupo (GPMC) e crie ou edite uma política destinada aos anfitriões de sessão.

3. Navegue para uma das seguintes secções de política. Utilize a secção de política em Configuração do Computador para o anfitrião de sessão de destino e utilize a secção de política em Configuração do Utilizador aplica-se a utilizadores específicos de destino.

   • Computador: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

   • Utilizador: User Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

   

4. Abra uma das seguintes definições de política, consoante pretenda configurar a área de transferência do anfitrião de sessão (servidor) para o cliente ou do cliente para o anfitrião de sessão:

   • Para configurar a área de transferência do anfitrião de sessão para o cliente, abra a definição de política Restringir a transferência da área de transferência do servidor para o cliente e, em seguida, selecione Ativado. Escolha dentre as seguintes opções:

     • Desative as transferências da área de transferência do servidor para o cliente.
     • Permitir texto simples.
     • Permitir texto simples e imagens.
     • Permitir texto simples, imagens e Formato rtf.
     • Permitir texto simples, imagens, Formato RTF e HTML.

   • Para configurar a área de transferência do cliente para o anfitrião de sessão, abra a definição de política Restringir a transferência da área de transferência do cliente para o servidor e, em seguida, selecione Ativado . Escolha dentre as seguintes opções:

     • Desative as transferências da área de transferência do cliente para o servidor.
     • Permitir texto simples.
     • Permitir texto simples e imagens.
     • Permitir texto simples, imagens e Formato rtf.
     • Permitir texto simples, imagens, Formato RTF e HTML.

5. Selecione OK para salvar suas alterações.

6. Depois de configurar as definições, certifique-se de que a política é aplicada aos anfitriões de sessão e, em seguida, atualize Política de Grupo nos anfitriões da sessão e reinicie-os para que as definições entrem em vigor

7. Ligue-se a uma sessão remota com um cliente suportado e teste as definições da área de transferência que configurou ao tentar copiar e colar diferentes tipos de conteúdo.

Registro

Para configurar a área de transferência com o registo num anfitrião de sessão, siga estes passos.

1. Abra a Editor de Registo a partir do menu Iniciar ou ao executar regedit.exe.

2. Defina uma das seguintes chaves de registo e o respetivo valor, consoante pretenda configurar a área de transferência do anfitrião da sessão para o cliente ou do cliente para o anfitrião da sessão.

   • Para configurar a área de transferência do anfitrião da sessão para o cliente, defina uma das seguintes chaves de registo e o respetivo valor. A utilização do valor do computador aplica-se a todos os utilizadores e a utilização do valor para o utilizador aplica-se apenas ao utilizador atual.

     • Chave:

       • Computador: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Utilizadores: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Tipo: REG_DWORD

     • Nome do valor: SCClipLevel

     • Dados de valor: introduza um valor da seguinte tabela:

       Dados do Valor	Descrição
       0	Desative as transferências da área de transferência do anfitrião da sessão para o cliente.
       1	Permitir texto simples.
       2	Permitir texto simples e imagens.
       3	Permitir texto simples, imagens e Formato rtf.
       4	Permitir texto simples, imagens, Formato RTF e HTML.

   • Para configurar a área de transferência do cliente para o anfitrião de sessão, defina uma das seguintes chaves de registo e o respetivo valor. A utilização do valor do computador aplica-se a todos os utilizadores e a utilização do valor para o utilizador aplica-se apenas ao utilizador atual.

     • Chave:

       • Computador: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Utilizadores: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Tipo: REG_DWORD

     • Nome do valor: CSClipLevel

     • Dados de valor: introduza um valor da seguinte tabela:

       Dados do Valor	Descrição
       0	Desative as transferências da área de transferência do cliente para o anfitrião de sessão.
       1	Permitir texto simples.
       2	Permitir texto simples e imagens.
       3	Permitir texto simples, imagens e Formato rtf.
       4	Permitir texto simples, imagens, Formato RTF e HTML.

3. Reinicie o anfitrião da sessão.

4. Ligue-se a uma sessão remota com um cliente suportado e teste as definições da área de transferência que configurou ao tentar copiar e colar diferentes tipos de conteúdo.

Conteúdo relacionado

• Configurar a Marca d'água.
• Configurar a Proteção contra Captura de Ecrã.
• Saiba como proteger a implementação do Azure Virtual Desktop em Melhores práticas de segurança.